Kontakt EMC

Kontakt EMC (dannet fra forkortelsen EMC for E uropay International, M aster card og V ISA) refererer til en spesifikasjon for betalingskort , med en prosessorbrikke kommer, og for tilhørende chipkortutstyr ( POS-terminaler og minibanker ). Bokstavene EMV står for de tre selskapene som utviklet standarden : Europay International (nå MasterCard Europe ), Mastercard og VISA . Fram til 2019 ble standarden ganske enkelt referert til som EMC. Standardorganisasjonen EMVCo kom ut av samarbeidet . B. 3-D Secure and Contactless EMV har utviklet og standardisert.

Chip i stedet for magnetstripe

I andre halvdel av 1990 år var i flere land i Europa debetkort med mikrochip utstyrt for korttransaksjoner ikke lenger teknisk utdatert magnetstripe å måtte håndtere. Disse sjetongene var alle proprietære og tilpasset behovene i de respektive landene. Mangelen på ikke å kunne brukes over landegrensene ble raskt gjenkjent og utbedret av EMC-standarden.

De viktigste fordelene med chip-teknologi og derfor også grunner til å erstatte magnetstripen med chip er:

I motsetning til magnetstripen kan brikken effektivt beskyttes mot duplisering eller endring ved hjelp av tekniske prosesser. Brikken kan utføre kryptering uten at en hemmelig nøkkelverdi blir brukt, kan leses opp.
Når du bruker chipkort, kan identifikasjonen av kortautentisiteten (Card Authentication) og verifiseringen av PIN-koden (Cardholder Verification) skje selv uten en online tilkobling.
I motsetning til den magnetiske strimmel, som fungerer som et rent passivt datalagringsmediet, er en brikke et miniatyr datamaskin med datakraft kan sammenlignes med en PC fra 1980-årene, med beskyttede dataområder og bruken av kryptografiske prosesser. Dette muliggjør også tilleggsfunksjoner som en elektronisk lommebok og programmer for vanlige kunder. Spesifikasjonen av disse tilleggsprogrammene er imidlertid ikke en del av EMV, siden EMV er begrenset til betalingsapplikasjoner.

EMC-standarden

Kontaktfelt på forsiden av et kredittkort basert på EMV-standarden

Europay International, MasterCard og VISA som de største betalingskortorganisasjonene utviklet i fellesskap EMV-standarden oppkalt etter dem. Den første stabile utgaven av EMV-brikkespesifikasjonene var EMV'96 Integrated Circuit Card Specification, versjon 3.1.1., Som, i motsetning til navnet, ikke ble publisert før 1998. Den omstrukturerte, korrigerte og utvidede EMV 2000 Integrated Circuit Card Specification, versjon 4.0, ble publisert i slutten av 2000. Denne spesifikasjonen gjelder alle betalingskort, dvs. både debetkort og kredittkort . EMV 4.1 er bare en revisjon av EMV 4.0-standarden og ble publisert i juni 2004.

EMC-standarden er i hovedsak basert på prinsippene om interoperabilitet og fleksibilitet. Interoperabilitet betyr at det samme kryss-systemet og grenseoverskridende kort- og terminalbruk som finnes med magnetstripteknologi også er tilgjengelig med chipkortteknologi. Fleksibilitet betyr at hvert betalingssystem må kunne dekke individuelle behov utover interoperabilitet. EMV 4.1-standarden er delt inn i fire såkalte "bøker". Bok 1 definerer grensesnittet mellom kort og terminal (mekanisk oppførsel, elektrisk oppførsel, transportprotokoll) og applikasjonsvalg (applikasjonsvalg; det samme for alle kort og alle terminaler); Bok 2 dekker "Security and Key Management", Book 3 "Application Specification" og Book 4 "Interface Requirements". Systemoperatørene (betalingstransaksjonssystemer) kan velge sine valg fra verktøykassen til EMV-standarden, hvor grunntanken er at terminalen må støtte alle alternativene som er oppført, og bare individuelle alternativer kan brukes på kortet.

For utviklingen av den felles standarden og videreutviklingen, grunnla EMV-navnebroren et eget selskap, EMVCo LLC . EMC-standarden ble definert av dette selskapet og videreutviklet av den. EMVCo LLC tester og sertifiserer også produsenter av EMC-kompatible enheter som B. Minibanker og POS-terminaler som bruker EMV-teknologi. De er ansvarlige for å møte de individuelle behovene til betalingstransaksjonssystemene som går utover dette.

EMV-betalinger

Med en EMV-betaling velges en applikasjon på EMV-brikken. Denne har en identifikator som er trykt på kundemottaket. Identifikatoren kalles applikasjonsidentifikatoren (AID eller AppID) og består av en 5-byte registrert applikasjonsleverandøridentifikator (RID) og en 2 til 5-byte proprietær applikasjonsidentifikatorutvidelse (PIX). RID for interessegruppen Die Deutsche Kreditwirtschaft er A000000359 og PIX på girokortet er 1010028001. Derfor er AID A0000003591010028001 på nesten alle mottak av tyske girokortbetalinger.

Migrasjon til EMC

For å implementere chipteknologien har Europay / MasterCard og VISA-organisasjonene utarbeidet en migreringsplan som ifølge 2005 innen alle europeiske betalingskort skal ha en EMV-chip og alle europeiske terminaler ( kontantløse salgssteder og minibanker ) skal være EMV-chipkompatible. . Økonomiske insentiver bør oppmuntre til overgangen. Terminalmigrering belønnes med Europay International / MasterCard International og utstedelse av EMV-kompatible kort med VISA EU. 1. januar 2005 var det også det såkalte ansvarsskiftet. Dette betyr at hvis det oppstår et tilfelle av skader basert på forfalskning av kort, vil " overtakeren " (det kontraherende selskapets regnskapsbank) eller " utstederen " (den kortutstedende banken), som ikke støtter EMV på terminal- eller kortsiden, er ansvarlig.

1. juli 2002 var DaimlerChrysler Bank den første tyske banken som utstedte et (Visa) kredittkort med en EMV-brikke på forsiden. Det ble forventet at chipteknologi med alle disse tiltakene på kort og terminaler ville spre seg raskt (foreløpig) parallelt med magnetstripteknologi og deretter erstatte den i en jevn overgang. Faktisk ble nesten alle kredittkort i Tyskland fortsatt utstedt i 2008 uten EMV-brikke, mens rundt 70% av debetkortene (ec-kortene) på markedet var utstyrt med en EMV-brikke. I midten av 2009 var minibankene 92% EMV-kompatible i både Tyskland og Europa.

Etter at Visa, MasterCard og Discover publiserte migrasjonsplanene sine for USA tidlig på 2012, begynte kredittkortselskapene å bytte kredittkort med magnetstriper mot kredittkort med EMV-sjetonger i siste kvartal 2015. Siden januar 2016 har “ erverver ” (kontraherende selskapets regnskapsbank) eller “ utsteder ” (den kortutstedende banken), som ikke støtter EMV på terminalen eller på kortet , vært ansvarlig . 10 år etter introduksjonen av EMV-teknologi i Europa, har kredittkortutstedere i USA nå fulgt etter.

2010 feil

1. januar 2010 hadde rundt 30 millioner eldre EC- og kredittkort med EMV-brikker i Tyskland problemer med å behandle fordi mikrochipene var programmert feil. Bare kort som var utstyrt med en chipmodul fra produsenten Gemalto ble berørt . Som et resultat kunne de berørte kundene verken ta ut penger fra minibanker eller foreta kontantløse betalinger (ved bruk av EMV-transaksjoner) på POS-terminaler.

Da dette førte til betydelige problemer i betalingstransaksjoner, men de berørte bankene ikke ønsket å bytte ut de defekte kortene på grunn av tid og penger, ble programvaren til minibankene og betalingsterminalene midlertidig omkonfigurert som en konsekvens. Når det gjelder minibanker, ble reserveleddet som allerede ble gitt for feil kort i EMV brukt i kort tid. Transaksjonen "faller" tilbake fra den sikre brikken til magnetstripen. Siden MM-sikkerhetsfunksjonen er påkrevd på magnetkortet til betalingskort og for minibanker i tyske betalingstransaksjoner, var sikkerheten til transaksjonen garantert. Prosessen ble konfigurert på elektroniske kontantterminaler på en slik måte at den gamle nasjonale elektroniske kontantbrikkesøknaden som fremdeles var til stede i de berørte brikkekortene ble byttet og den defekte EMV-applikasjonen av brikkekortet ikke lenger ble brukt. Disse umiddelbare tiltakene ble fullført innen en uke.

Et oppdateringssystem ble deretter implementert for å tilpasse de defekte dataelementene på kortet, som omkonfigurerte CDOL1 på chipkortet. For dette ble dataene som er relevante for CDOL1 foreskrevet i en annen rekkefølge, der 2010-feilen ikke lenger forekommer. En transaksjon uten betaling måtte gjøres for å importere oppdateringen. Kundene ble informert om omkonfigurering av kortet på terminalen etter en vellykket oppdatering.

sikkerhet

11. februar 2010 publiserte en gruppe dataforskere fra University of Cambridge et effektivt menneske-i-midten-angrep mot en POS-terminal i den interne Cambridge-kafeteriaen, som ble sertifisert i henhold til British Standard Chip Authentication Program. (LOKK). Angrepet gjør det mulig å bekrefte transaksjonen ved å angi hvilken som helst PIN-kode. I dette angrepet skyves et falsk kort som er knyttet til et ekte kort inn i terminalen. Terminalens melding til chipkortet, som inneholder PIN-koden som skal kontrolleres, blir fanget opp og besvart med en "PIN OK" -melding. Terminalen mener derfor at riktig PIN-kode er angitt, mens kortet forutsetter at betalingen ble gjort med en signatur. Dette angrepet fungerer fordi svarmeldingen ikke trenger å være kryptografisk sikret. I Tyskland kan angrepet bare fungere med det utdaterte tyske chipoperativsystemet SECCOS v5, som overgangsperioden nå er utløpt for. I følge Deutsche Kreditwirtschaft (tidligere Central Credit Committee, ZKA) blir Tyskland derfor ikke berørt av problemet.

EMV-spesifikasjonen "Common Payment Application Specification" fra 2005 i kapittel "15.5.3.4 Terminal vurderer feilaktig PIN-kode OK Sjekk" sørger for en sjekk i tilfelle en positiv PIN-bekreftelse feilaktig akseptert av terminalen. Samme kapittel kan også finnes som kapittel "5.2.5.5.3 Terminal vurderer feilaktig PIN-kode offline sjekk" i den tyske ZKA-spesifikasjonen "Grensesnittspesifikasjoner for SECCOS ICC - EMV-kommandoer" fra 2007.

Fra et teknisk synspunkt, etter VERIFY PIN- kommandoen ved 1. GENERATE APPLICATION CRYPTOGRAM i CDOL1, overføres også biten for "PIN-verifisering utført av ICC" fra terminalen til kortet via Cardholder Verification Method Results (9F34). Kortet må sjekke dette og deretter be om at brukeren går online eller avbryter transaksjonen. Det er her hacket skulle ha mislyktes senest i Storbritannia.

Spesifikasjoner

1996: EMC 3.0
1999: EMC 3.1.1
2000: EMV 4.0 (EMV 2000)
2004: EMC 4.1
2008: EMC 4.2
2011: EMC 4.3
2019: Kontakt EMV 4.3f

Se også

3-D Secure og 3-D Secure 2.0

weblenker

EMVCo LLC

Individuelle bevis

↑ Visa oppdatering for EMV Chip implementering i USA ( Memento av den opprinnelige datert 16 juni 2012 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2
↑ MasterCard Justerer med Visas amerikanske EMV migreringsplaner ved å publisere sin egen EMV Implementation Roadmap ( Memento av den opprinnelige fra 16 juni 2012 i Internet Archive ) Omtale: The arkiv koblingen er satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2
↑ Discover Redskap EMV Mandat for USA, Canada og Mexico
↑ Fransk selskap å klandre for 2010-feilen Spiegel Online Wirtschaft
^ Uttalelse fra ZKA: Erfaringer fra "2010 problemet" - Business Continuity Management i chip kortsystemer ( Memento av den opprinnelige fra 11 september 2010 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke vært krysset av. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. (PDF, 34 kB) @1@ 2
↑ Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond: Chip and PIN is Broken . I: IEEE Symposium on Security and Privacy . 2010 ( cam.ac.uk [PDF]).
↑ Erklæring om ZKA ( Memento av den opprinnelige fra 15 mars 2014 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2
↑ Vanlig spesifikasjon for betalingsapplikasjon
↑ EMC 4.3

[1] Visa oppdatering for EMV Chip implementering i USA ( Memento av den opprinnelige datert 16 juni 2012 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2

[2] MasterCard Justerer med Visas amerikanske EMV migreringsplaner ved å publisere sin egen EMV Implementation Roadmap ( Memento av den opprinnelige fra 16 juni 2012 i Internet Archive ) Omtale: The arkiv koblingen er satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2

[3] Discover Redskap EMV Mandat for USA, Canada og Mexico

[4] Fransk selskap å klandre for 2010-feilen Spiegel Online Wirtschaft

[5] Uttalelse fra ZKA: Erfaringer fra "2010 problemet" - Business Continuity Management i chip kortsystemer ( Memento av den opprinnelige fra 11 september 2010 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke vært krysset av. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. (PDF, 34 kB) @1@ 2

[6] Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond: Chip and PIN is Broken . I: IEEE Symposium on Security and Privacy . 2010 ( cam.ac.uk [PDF]).

[7] Erklæring om ZKA ( Memento av den opprinnelige fra 15 mars 2014 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2

[8] Vanlig spesifikasjon for betalingsapplikasjon

[9] EMC 4.3

Languages